引言：當(dāng)在企業(yè)網(wǎng)中部署了域架構(gòu)后，隨著技術(shù)的發(fā)展和時(shí)間的推移，必然會(huì)涉及到對(duì)其進(jìn)行升級(jí)或者遷移操作。針對(duì)域架構(gòu)的版本升級(jí)，最常用的就是遷移操作。下面筆者就來談一談關(guān)于活動(dòng)目錄的遷移。

在一些管理員眼中，本企業(yè)的老版本的域架構(gòu)運(yùn)行很穩(wěn)定，使用起來不存在任何問題，似乎沒有必要進(jìn)行升級(jí)。因?yàn)樯?jí)行為必然涉及到采購新的軟硬件設(shè)備，以及必要的技術(shù)培訓(xùn)等，這會(huì)增加運(yùn)營的成本。當(dāng)完成域架構(gòu)的升級(jí)后，就會(huì)面對(duì)重新學(xué)習(xí)新的運(yùn)維知識(shí)，逐步熟悉其性能特點(diǎn)，掌握更多的方法技巧等，即要經(jīng)過一定的時(shí)間后，才能充分發(fā)揮新架構(gòu)的技術(shù)優(yōu)勢(shì)。這種看法帶有很大的片面性，因?yàn)閷?duì)于微軟的網(wǎng)絡(luò)架構(gòu)來說，對(duì)產(chǎn)品的技術(shù)支持是存在期限的，例如對(duì)于Windows Server 2003，SQL Server 2005，Exchange 2003等老系統(tǒng)來說，微軟早已停止對(duì)其的技術(shù)支持。對(duì)于規(guī)模較大的企業(yè)來說，是不允許相關(guān)的軟硬件產(chǎn)品在沒有技術(shù)保證的情況下運(yùn)作的，因?yàn)檫@會(huì)對(duì)企業(yè)的安全造成威脅。

在執(zhí)行域架構(gòu)升級(jí)之前，需要考慮一些的相關(guān)的問題。例如查看企業(yè)域的邏輯架構(gòu)拓?fù)鋱D，了解域的具體架構(gòu)，分析企業(yè)網(wǎng)絡(luò)拓?fù)鋱D，查看是否存在分支機(jī)構(gòu)，企業(yè)公網(wǎng)帶寬是否滿足發(fā)展的需要等，這樣才能熟悉企業(yè)域的整體面貌。如果企業(yè)內(nèi)部域名和外部域名不一致的話，利用升級(jí)操作可以將其調(diào)整為一致。

深入了解在企業(yè)網(wǎng)中存在多少客戶機(jī)，有哪些客戶機(jī)需要加入域環(huán)境，客戶機(jī)采用了哪些操作系統(tǒng)，需要淘汰哪些低版本的客戶機(jī)操作系統(tǒng)，在企業(yè)網(wǎng)中部署了哪些基于域架構(gòu)的應(yīng)用（例如 Exchange，SharePoint，Lync等），哪些應(yīng)用平臺(tái)（例如VPN遠(yuǎn)程訪問等）涉及基于域身份驗(yàn)證，當(dāng)升級(jí)之后，是否會(huì)對(duì)其產(chǎn)生不利的影響。在進(jìn)行環(huán)境部署時(shí)，是否使用到虛擬化技術(shù)，在升級(jí)之后是否對(duì)和虛擬化相關(guān)的軟硬件進(jìn)行調(diào)整，當(dāng)前的架構(gòu)存在哪些問題，升級(jí)所需的費(fèi)用花費(fèi)的時(shí)間等信息，這樣可以有針對(duì)性的設(shè)計(jì)出切實(shí)可用的升級(jí)方案。

在同一個(gè)域中的進(jìn)行遷移

這里就以活動(dòng)目錄從Windows Server 2003遷移到Windows Server 2012為例，來簡(jiǎn)單的說明具體的實(shí)現(xiàn)方法。注意，在同一個(gè)林中是可以從Windows Server 2003直接遷移到Windows Server 2012，而不是按照常規(guī)想法，先從Windows Server 2003遷移到Windows Server 2008/R2。再從Windows Server 2008/R2遷移到Windows Server 2012。

但是在遷移過程中，必須考慮到如何才能對(duì)當(dāng)前的域架構(gòu)影響最小的問題。例如在域中名為DCsrv1的DC為主域控，安裝的是Windows Server 2003，其IP 為 192.168.0.2，DCsrv2為額外域控，安裝的也是Windows Server 2003，其IP為192.168.0.3。

現(xiàn)在想將其分別遷移兩臺(tái)Windows Server 2012的服務(wù)器上，分別扮演同樣的角色。遷移是要講究方式的，先將DCsrv2額外域控關(guān)機(jī)大約七天左右時(shí)間（當(dāng)然該時(shí)間可以根據(jù)實(shí)際情況而定），讓DCsrv1保持正常運(yùn)行，主要用來觀察網(wǎng)絡(luò)運(yùn)行是否正常。

當(dāng)確認(rèn)沒有問題后，對(duì)DCsrv2進(jìn)行備份，在Windows Server 2003中對(duì)域控進(jìn)行備份的話，可以運(yùn)行“ntbackup”命令，在備份工具窗口點(diǎn)擊“備份向?qū)?高級(jí))”按鈕，在備份面板中選擇系統(tǒng)盤和“System State”項(xiàng)，點(diǎn)擊瀏覽按鈕，選擇備份的路徑。點(diǎn)擊“開始備份”按鈕，執(zhí)行備份操作。

為了實(shí)現(xiàn)遷移操作，需要將DCsrv2關(guān)閉。為了防止出錯(cuò)，最好在兩臺(tái)域控上分別執(zhí)行“net accounts”命令，如果在回應(yīng)信息中的“計(jì)算機(jī)角色”欄中顯示“Primary”字樣，說明該機(jī)為主DC。如果顯示為“Backup”字樣，說明其是額外DC。

圖1 取消全局編錄身份

當(dāng)然，通過操作主機(jī)來也可以查看哪臺(tái)DC為主域控。先安裝Windows Server 2003工 具 包，之后在CMD窗口中運(yùn)行“netdom query fsmo”命令，來查看操作主機(jī)信息。在“Schema owner”（架構(gòu)主機(jī)），“Domain role owner”（域命名主控），“PDC role”（PDC仿真器），“RID pool manager”（RID 主 控），“Infrastructure owner”（基礎(chǔ)架構(gòu)主控）等角色中會(huì)全部顯示主DC名稱。

在DCsrv2上 打 開Active Directory站 點(diǎn)和服務(wù)窗口，在左側(cè)選擇“Sites” →“Default-First-Site-Name” →“Servers”→“DCsrv2” →“NTDS Settings”項(xiàng)，在其屬性窗口（如圖1）中的“常規(guī)”面板中取消“全局編錄”項(xiàng)的選擇，使其不擁有全局編錄服務(wù)器的身份。

在03DC2上 打 開Internet協(xié)議（TCP/IP）屬性窗口，將首選的DNS服務(wù)器指向主DC的IP，取消備用DNS服務(wù)器設(shè)置。在默認(rèn)情況下，主機(jī)的首選DNS服務(wù)器一般指向主DC，備用DNS服務(wù)器指向額外DC。因?yàn)橐P(guān)閉額外域控，所以在客戶端的DNS指向設(shè)置上進(jìn)行必要的調(diào)整，使其指向主DC的IP地址，取消針對(duì)額外DC的DNS指向。

在額外域控上執(zhí)行“dcpromo”命令，在Active Directory安裝向?qū)Ы缑嬷悬c(diǎn)擊下一步按鈕，一定不要選擇“這個(gè)服務(wù)器是域中最后一個(gè)域控制器”項(xiàng)，點(diǎn)擊下一步按鈕，設(shè)置本地管理員密碼。因?yàn)閷?duì)于DC來說，是沒有本地賬戶信息的。因?yàn)檫@里需要對(duì)額外DC進(jìn)行降級(jí)，將其變?yōu)槌蓡T服務(wù)器，所以其必須擁有本地賬戶。

點(diǎn)擊下一步按鈕，可以將額外域控上的活動(dòng)目錄數(shù)據(jù)庫刪除，將其變?yōu)橛蛑械囊慌_(tái)成員服務(wù)器。之后在DCsrv1上打開Active Directory用戶和計(jì)算機(jī)窗口，在左側(cè)選擇“DomainControllers”項(xiàng)，在右側(cè)就不會(huì)顯示DCsrv2的信息。在左側(cè)選擇“Computers”項(xiàng)，看 到DCsrv2已經(jīng)成為普通的成員服務(wù)器。

打開DCsrv2的系統(tǒng)屬性窗口，在“計(jì)算機(jī)名”面板中點(diǎn)擊更改按鈕，在“隸屬于”欄中選擇“工作組”項(xiàng)，將其加入到工作組中，使其退出域環(huán)境，并將其從Active Directory數(shù)據(jù)庫中清除并徹底關(guān)機(jī)。既然要執(zhí)行遷移操作，因此需要準(zhǔn)備一臺(tái)全新安裝的Windows Server 2012 R2服 務(wù) 器，其默認(rèn)處于工作組環(huán)境。因?yàn)槠湟鎿Q上述關(guān)閉的DCsrv2，所以其名稱和IP應(yīng)該與其一致。在該機(jī)上打開Internet 協(xié)議版本4（TCP/IP）屬性窗口，將IP設(shè)置為192.168.0.3，將首選的DNS服務(wù)器設(shè)置為192.168.0.2。

圖2 配置活動(dòng)目錄向?qū)?/p>

打開其系統(tǒng)屬性窗口，在“計(jì)算機(jī)名”面板中點(diǎn)擊更改按鈕，將其名稱設(shè)置為“DCsrv2”，使其和之前的額外域控完全相同，在“隸屬于”欄中選擇“域”項(xiàng)，輸入域名，點(diǎn)擊確定按鈕，將其添加到域中。

在該機(jī)上以管理員身份登錄到域中，在服務(wù)器管理器中點(diǎn)擊“添加角色和功能”項(xiàng)，在列表中選擇“Active Directory域服務(wù)”項(xiàng)，點(diǎn)擊安裝按鈕，安裝該角色。點(diǎn)擊“將此服務(wù)器提升為域控制器”鏈接，在向?qū)Ы缑妫ㄈ鐖D2）中選擇“將域控制器添加到現(xiàn)有域”項(xiàng)。

點(diǎn)擊下一步按鈕，系統(tǒng)會(huì)彈出警告信息，顯示“副本驗(yàn)證失敗，林功能級(jí)別為 Windows 2000，若要安裝Windows Server 2012 R2域或域控制器，林功能級(jí)別必須為Windows Server 2003或或更高級(jí)別”。解決方式是在現(xiàn)有的DCSrv1上打開Active Directory域和信任關(guān)系窗口，在左側(cè)選擇域名，在其右鍵菜單上點(diǎn)擊“提升域功能級(jí)別”項(xiàng)，在打開窗口中的“選擇一個(gè)可用的域功能級(jí)別”列表中選擇“Windows Server 2003”項(xiàng)，點(diǎn)擊提升按鈕，執(zhí)行提升操作。

在左側(cè)選擇“Active Directory域和信任關(guān)系”項(xiàng)，在其右鍵菜單上點(diǎn)擊“提升林功能級(jí)別”項(xiàng)，將其提升為Windows Server 2003級(jí)別。在上述向?qū)Ы缑嬷悬c(diǎn)擊下一步，選擇“域名系統(tǒng)(DNS)服務(wù)器”和“全局編錄(GC)”項(xiàng)，并且系統(tǒng)會(huì)提示因?yàn)殚L(zhǎng)不到Windows Server 2008或更高版本的域控制器，所以無法安裝只讀域控制器。

輸入目錄服務(wù)還原模式密碼，點(diǎn)擊下一步按鈕，在“復(fù)制自”列表中選擇“DCsrv1”域控，依次點(diǎn)擊下一步按鈕，當(dāng)先決條件檢測(cè)通過后，點(diǎn)擊安裝按鈕，之后該Windows Server 2012服務(wù)器就變成為當(dāng)前Windows Server 2003主域控的額外域控，主DC上的活動(dòng)目錄數(shù)據(jù)庫等信息都會(huì)同步到該額外DC上。

在該額外域控上打開Internet 協(xié)議版本4(TCP/IP)屬性窗口，將首選DNS服務(wù)器指向自身，即 192.168.0.3。 將備用DNS服務(wù)器設(shè)置設(shè)置為192.168.0.2，這是因?yàn)榻酉聛硇枰P(guān)閉主域控DCsrv1，將該額外域控提升為主DC。因?yàn)椴僮髦鳈C(jī)在當(dāng)前的主DC上，所以需要將其遷移過來。

在該額外域控上打開CMD窗 口，依 次 執(zhí)行“ntdsutil”，“Roles”，“Connect”，“Connect to server dcsrv2.xxx.com”，“quit”，“Transfer in ma”，“Transfer na ma”，“Transfer pdc”，“Transfer rid master”，“Transfer schema master”，“quit”，“quit”命令，將操作主機(jī)的五種角色傳送過來。執(zhí)行“netdom query fsmo”命令，可以看到該即已經(jīng)具有了操作主機(jī)的角色，該額外域控就變成了主DC。

在之前的Windows Server 2003的主DC上執(zhí)行“net accounts”命令，可以看到其計(jì)算機(jī)角色已經(jīng)變成了“BACKUP”，說明其變成了額外DC。兩者的身份角色產(chǎn)生了置換。

在該額外域控上按照上述方法，取消其擁有的全局編錄功能，將其首選的DNS服務(wù)器設(shè)置為192.168.0.3，備用DNS服務(wù)器設(shè)置清空，按照上述方法對(duì)其進(jìn)行備份。并將其降級(jí)為成員服務(wù)器。

之后將其退出域環(huán)境并關(guān)機(jī)大約七天左右時(shí)間，當(dāng)然該時(shí)間可以根據(jù)實(shí)際情況而定，主要用來觀察網(wǎng)絡(luò)運(yùn)行是否正常。因?yàn)镈Csrv1保持正常運(yùn)行，因此在所有客戶端的DNS指向設(shè)置上進(jìn)行必要的調(diào)整，使其指向主DC的IP地址，即192.168.0.3，取消針對(duì)額外DC的DNS指向。

當(dāng)確認(rèn)沒有問題后，再安裝一臺(tái)全新的Windows Server 2012服務(wù)器，其默認(rèn)處于工作組環(huán)境。因?yàn)槠湟鎿Q上述關(guān)閉的DCsrv1，所以其名稱和IP應(yīng)該與其一致。在該機(jī)上打開Internet 協(xié)議版本4（TCP/IP）屬性窗口，將IP設(shè)置為192.168.0.2，將首選的DNS服務(wù)器設(shè)置為192.168.0.2。

打開其系統(tǒng)屬性窗口，在“計(jì)算機(jī)名”面板中點(diǎn)擊更改按鈕，將其名稱設(shè)置為“DCsrv1”，使其和之前的額外域控完全相同，在“隸屬于”欄中選擇“域”項(xiàng)，輸入域名，點(diǎn)擊確定按鈕，將其添加到域中。在該機(jī)上以管理員身份登錄到域中，之后按照上述方法，將其設(shè)置為當(dāng)前主DC的額外域控，具體方法與上述完全相同，這里就不再贅述了。

可以看出，把活動(dòng)目錄從Windows Server 2003遷移到Windows Server 2012過程中，始終有可用的域控來維護(hù)和管理網(wǎng)絡(luò)的運(yùn)行，對(duì)實(shí)際的工作沒有任何影響。

當(dāng)然，上面只是簡(jiǎn)單的分析了活動(dòng)目錄的遷移操作，實(shí)際上，在域中可能還存在DHCP服務(wù)器，CA服務(wù)器，Exchange服務(wù)器以及其他基于域架構(gòu)的應(yīng)用程序等，在實(shí)施遷移時(shí)，還要考慮很多的因素，這就需要根據(jù)具體的情況進(jìn)行靈活的處理了。